|
Penetrationstests und Security-Audits
Auch moderne Firmennetzwerke bestehen aus historischen Gründen oftmals aus
einer Vielzahl verschiedener Hard- und Softwaresysteme. Die Überwachung
eines solchen inhomogenen Netzwerks auf Sicherheitslücken und das
Einspielen der entsprechenden Fixe und Patche ist meistens aus zeitlicher
und finanzieller Sicht nicht von einem Mitarbeiter durchzuführen.
Eine Abschätzung über die Sicherheit des Netzwerkes, sei es nun gegen
Angriffe von Aussen (Internet) oder durch Angriffe von Innen durch eigene
Mitarbeiter oder Fremdfirmen mit Netzwerkzugang, ist extrem aufwändig und
verlangt in diesem Bereich ein geschultes Spezialwissen.
Diese Schulungen der IT-Mitarbeiter und die nachfolgende Umsetzung des
Erlernten sind ohne großen Aufwand nicht durchzuführen.
Wir bieten Ihnen eine kostengünstige Überprüfung der bestehenden
Infrastuktur durch unsere Experten an. Diese Security-Audits und
Penetrationstests können nach Ihren Wünschen und Vorstellungen ausgeführt
werden. Von einer grundlegenden Überprüfung der Firewall und der vom
Internet zu erreichenden Dienste bis hin zur vollständigen Überprüfung
Ihres Netzwerkes (Server, Datenbanken) auch auf z.B. unsichere Passwörter
bieten wir Ihnen eine abgestimmte Lösung an. Unser Ziel ist es die
Sicherheitsschwächen ihrer IT-Infrastruktur zu erkennen und zu beseitigen.
Überblick über Analysetechniken und Module
Analyse aus dem Internet
Das Security-Audit aus dem Internet identifiziert Schwachstellen der
öffentlich erreichbaren Systeme in ihrem Netzwerk, je nach Bedarf kann
dieser unterschiedlich aufgebaut sein und beinhaltet folgende
Testmethoden:
• Test mit Hilfe eines Sicherheitsscanners (z.B. Nessuss,ISS)
• Portscans (z.B. Nmap)
• Manuelle Tests mit individuellen Methoden (über 27% der während eines
Tests gefundenen Schwachstellen können nur durch Erfahrung, Phantasie und
menschliche Intelligenz entdeckt werden).
Als Testergebnis bekommen Sie einen detailliert ausgearbeiteten
Sicherheitsbericht über eventuell gefundene Schwachstellen mit
Verbesserungsvorschlägen, der etwa 20-1000 Seiten umfassen kann und sich
an den Richtlinien des BSI ( Bundesamt für Sicherheit in der
Informationstechnik) orientiert. Bei den Ergebnissen der
Sicherheitsschwächen halten wir uns an die Vorgaben des CVE Combatibility
Standards (siehe auch:
cve.mitre.org) und geben zur Identifizierung des Mangels sofern
möglich die CVE-ID an. Diese CVE-ID versetzt Sie in die Lage die
Ergebnisse von unterschiedlichen Beratungsunternehmen aus der Security
Branche miteinander zu vergleichen
Folgende Module werden beim externen Security Audit angeboten:
Modul Zero-Knowledge : Auf Wunsch findet ein Angriff von Außen ohne jedes
Vorwissen und Informationen über Firewallsysteme oder
Netzwerkinfrastruktur vom Kunden statt. Die Angriffe werden mit gängigen
Hackertools und Methoden von unseren Spezialisten durchgeführt. Da mit
wirklichen „Hackermethoden“ gearbeitet wird und es vorher nicht
abzuschätzen ist wie lange ein Angriff dauert, wird nach tatsächlichem
Aufwand abgerechnet.
Modul Knowledge: In einer Vorbesprechung (auch telefonisch), wird die
Vorhergehensweise des Security Audits besprochen. Um Zeit und Kosten zu
sparen gibt der Kunde uns einen Überblick über die Netzwerkinfrastruktur
und die Patchlevels der kritischen Systeme. Der Angriff von Außen erfolgt
dann gezielt auf die kritischen Systeme
Bei beiden Tests sind folgende Punkte beinhaltet:
• Erstellung einer Übersicht der öffentlich erreichbaren Systeme und
Ports.
• Übersicht der im Internet bekannten DNS-Namen und IP-Adressen, der
öffentlich erreichbaren Systeme
• Mail-System, Mailrouting, (Übersicht über Headerinformationen, offene
Relays)
• Liste der gefundenen Sicherheitsmängel ( offene Ports, angreifbare
Dienste) und Verbesserungsvorschläge der erreichbaren Systeme.
• Überprüfung der auf den öffentlich zugänglichen Systemen eingesetzten
Software auf Sicherheitsmängel und Patchlevel.
• Passwortrateattacken
• Portscanns mit nicht RFC konformen Paketen ( SYN-, ACK-, FIN-, und
Xmas-Scans.
• Gezielte Überprüfung der Betriebsystme der öffentlich erreichbaren
Systeme und der erreichbaren Dienste mit diversen Angriffsmöglichkeiten (Exploits)
und Softwaretools.
• Überprüfung der gängigen Dienste wie z.B. DNS, SMTP, FTP und HTTP (z.B.
anfällige-CGI Skripte auf Webservern).
• Dokumentation
Auf Wunsch führen wir auch so genannte „Agressive Scans“ durch, die als
Ziel den Absturz eines Systems haben. Dies kann auch nach vorheriger
Absprache außerhalb der Arbeitszeit (.z.B. am Wochenende) stattfinden.
Analyse des Corporate Networks
Die Analyse ihres Corporate Networks beinhaltet zusätzlich zu dem Modul
Knowledge Test von extern, noch ein Sicherheitsaudit das vor Ort in ihrem
Intranet stattfindet und in dem nach vorheriger Absprache für ihr Intranet
repräsentative Systeme, für den Test ausgewählt werden.
Modul Corporate: Bei diesem Intranet Test sind folgende Punkte beinhaltet:
• Passwort Audits ( z..B. Cracking von Passwort-Hashes,
Brutforce-attacken…)
• Prüfung einer Webapplikation bzw. Webserver auf Sicherheitsmängel
• Überprüfung der Server Sicherheit (.z.B. Rechtevergabe, Patchlevel,
Fernzugriffsberechtigungen, Dienste die aktiviert sind aber nicht
gebraucht werden..)
• Organisatorische Schwächen (z.B. ist eine Dokumentation über
Sicherheitskonzepte, Security Policies, Alarmierungsabläufe etc.
vorhanden.).
In jedem Fall klären wir Sie über das Risiko einer gefundenen
Schwachstelle auf und erarbeiten so in Zusammenarbeit mit Ihnen einen
angepassten Sicherheitslevel für Ihre Systeme und erstellen auf Wunsch
eine Security-Policy um eine Einhaltung der gesetzten Standards auch für
die Zukunft sicherstellen zu können.
Modul individual Basic: Dauer: ca.8 Stunden
Inhalt: nach vorheriger Absprache werden gezielte Systeme, wie z.B.
Firewall oder Webserver in der DMZ überprüft und getestet. Anschließen
wird ein Prüfbericht mit Verbesserungsvorschlägen erstellt.
Modul Zero-Knowledge: Dauer: Preis, Dauer und Umfang nach vorheriger
Absprache
Modul Knowledge: Dauer ca. 2 Tage
Modul
Corporate: Dauer ca. 3 Tage, beinhaltet Knowledge Test und ein Tag vor Ort |
.JPG){kind=small}
